大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
近日,网络安全领域再度掀起波澜。与俄罗斯有关的APT29组织(又名SVR组织、BlueBravo、Cozy Bear、Nobelium、Midnight Blizzard和The Dukes)被发现再次利用监控公司NSO Group和Intellexa开发的漏洞,针对iOS和Chrome用户发动了新一轮攻击。这一消息引起了全球安全专家的高度关注。
APT29:神秘而强大的网络间谍组织
APT29是一个与俄罗斯政府密切相关的网络间谍组织,以其复杂的攻击手段和广泛的目标闻名。过去,该组织曾多次参与针对西方国家和国际组织的网络攻击活动。这次,APT29再次展现了其惊人的攻击能力,利用了曾经用于商业监控的软件漏洞,对东亚国家的重要政府网站发起了精心策划的网络攻击。
漏洞利用:从NSO Group到Intellexa
这次攻击的核心在于APT29对已修复的iOS和Chrome漏洞的重新利用。根据Google TAG(威胁分析小组)的报告,APT29利用了NSO Group和Intellexa曾使用的漏洞,通过入侵蒙古政府的官方网站,实施了针对iOS和Android用户的水坑攻击。水坑攻击是一种非常隐蔽且高效的攻击方式,攻击者通过在目标网站中植入恶意代码,诱导受害者在不知情的情况下下载和执行恶意软件。
在2023年11月至2024年7月期间,APT29通过这些漏洞成功入侵了蒙古内阁和外交部的官方网站,嵌入了指向攻击者控制网站的隐藏iframe。这些iframe利用CVE-2023-41993漏洞,对运行iOS 16.6.1或更早版本的设备部署了cookie窃取程序。到了2024年2月,该组织再次入侵了外交部网站,针对特定的政府邮件系统进行了定向攻击。
技术细节:APT29的高级攻击手法
这次APT29的攻击不仅仅是对现有漏洞的简单重复利用,其技术复杂性令人震惊。APT29的攻击链包括多个步骤,从初始的社会工程学诱导到复杂的漏洞利用,再到最终的恶意软件部署。尤其是在Chrome的攻击中,APT29还利用了沙盒逃逸技术,成功绕过了Chrome的站点隔离机制。
值得注意的是,这次APT29还使用了由NSO Group开发的CVE-2024-5274漏洞,该漏洞最初被用于商业监控目的。尽管APT29对这一漏洞进行了改编,但其版本仅针对特定的Chrome版本,这显示了其对目标的精准打击能力。
水坑攻击:持续的网络威胁
水坑攻击是一种极具隐蔽性的网络攻击方式,APT29通过这种方式成功入侵了多个政府网站,并将这些网站变成了攻击工具。对于用户来说,当他们访问这些被感染的网站时,恶意代码会自动执行,从而使攻击者能够窃取敏感信息,如浏览器cookie和其他认证凭据。
Google TAG的研究还发现,APT29的攻击手法中使用了混淆的JavaScript和ECDH密钥交换技术,这些高级手段进一步增加了检测和防御的难度。
结语
APT29再次展示了其在网络战中的强大能力,通过重复利用NSO Group和Intellexa开发的漏洞,成功发动了一系列复杂的网络攻击。这一事件再次提醒我们,网络安全无国界,所有人都应提高警惕,积极采取防护措施。
网络安全不仅关乎个人隐私,更涉及国家安全。在这个充满挑战的数字时代,我们每个人都有责任保护自己的数据安全。关注我们的微信公众平台,获取更多网络安全动态和防护建议,让我们共同守护数字世界的安全与稳定。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友加入沟通交流。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):俄罗斯APT29再度出击:重复利用NSO Group和Intellexa开发的iOS与Chrome漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论